(19) 



Europaisches Patentamt 
European Patent Office 
Office europeen dee brevets 



III 




01) 



EP 0 944 027 A2 



(12) 



EUROPAISCHE PATENTANMELDUNG 



(43) 


Veroffentlichungstag: 
22.09.1999 Psientoian iyyw« 


(51) Intel* G07B 17/00 


(21) 


Anmetdenummer. w^ouu/ i.u 




(22) 


AnmeWetag: 09.03.1999 




(84) 


Benannte Vertragsstaaten: 

AT BE CH CY DE DK ES Fl FR GB GR IE IT LI LU 
MC NL PT SE 


(71) Anmelder: Francotyp-Poetalla 
Aktlengeeellechaft & Co. 
16547 Blrkenwerder (DE) 




Benannte Erstreckungsstaaten: 
AL LT LV MK RO SI 


(72) Erfinder: Pauschlnger, Dieter, Dr. 
16540 Hohen Neuendorf (DE) 


(30) 


Prioritat: 18.03.1998 DE 19812903 





(54) Frankiereinrichtung und ein Verfahren zur Erzeugung guttiger Daten fur Frankierabdrucke 



(57) Eine Frankiereinrichtung (10) fur ein kleines 
Postaufkommen besteht aus einem Computer (11 ) und 
mit einem angeschtossenen Drucker (17), wobei der 
Computer einen Speicher (13) mit einer lokalen Daten- 
bank fur PostempfangeradreBdateien uber ein Kommu- 
nikationsmittel (1 5) mit einer Datenzentrale (20) verbun- 
den ist, welche eine zentrale Datenbank (23) aufweist 
Der Computer (11) ist entsprechend programmiert, daG 
Anforderungsdaten gebitdet und zur Datenzentrale 
ubermrttelt und angeforderte zuruckubermittelte Daten 
empfangen und gespeichert werden. Das Verfahren zur 
Erzeugung guttiger Daten fur Frankierabdrucke umfaBt 
dabei folgende Schritte: 

- Bildung und Ubermittlung von Anforderungsdaten 



fur eine Signatur, 

Verifikation von ubermittelten Daten in einer Daten- 
zentrale (20), 

Erzeugung einer Signatur auf der Basis verifizierter 
Daten unter Verwendung eines asymmetrischen 
Kryptoalgorfthmus und geheimen privaten SchlOs- 
sels, sowie 

Ruckubermittlung der verifizierten Daten und der 
Signatur zur Frankiereinrichtung (10), wobei die Au- 
thentizitat der zuruckubermittelten Daten anhand 
der Signatur unter Verwendung eines offentlichen 
Schlussels uberprufbar ist, sowie 
Speicherung authentischer empfangener Daten in 
der lokalen Datenbank (13). 
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Beschreibung 

[0001] Die Erfindung betrifft eine Frankiereinrichtung 
und ein Verfahren zur Erzeugung gultiger Oaten fur 
Frankierabdrucke gemaB des Oberbegriffs des An- 
spruchs 1 beziehungsweise des Anspruchs 4. Die Fran- 
kiereinrichtung ist insbesondere im Heimbereich und fur 
Anwender geeignet, die nur wenig Poststucke versen- 
den. 

[0002] In der DE 40 18 166 C2 wurde bereits fur sol- 
che Anwender mit geringem Postgutaufkommen ein 
Frankiermodul fur einen Personalcomputer vorgesch la- 
gen, in dessen Slot eines Laufwerkeinschubes das 
Frankiermodul angeordnet ist, welches sowohl das 
Frankieren als auch das Adressieren von Brief umschla- 
gen gestattet. Ein solches Frankiermodul ist von einem 
gesicherten Gehause umgeben und hat schaltungs- 
technisch den gleichen Aufbau, wie eine Frankierma- 
schine, bei welcher die Brieftransportvorrichtung einge- 
spart wird. Es versteht sich von selbst, daB ein derartig 
abgerustetes Frankiermodul bil tiger angeboten werden 
kann, als eine Frankienmaschine. 
[0003] Durch den Einsatz des Frankiermoduls kann 
die Abrechnung der F ran kie rung und das Drucken des 
Frankierstempel-bildes nicht von extern manipultert 
werden. Die AdreBdaten werden von einem vom Perso- 
nalcomputer verwalteten Speicher gelesen und uber 
das interne Informationsnetz dem Frankiermodul zuge- 
fuhrt. Dabei ist allerdings nicht ausgeschlossen, dafl 
fehlerhafte AdreBdaten letztendlich dazu fuhren, daB 
der Postbefdrderer das Poststuck nur schwer oder gar 
nicht dem Postempfanger zustellen kann. Bei einem di- 
gitalen Druckverfahren ist es schwer festzustellen, ob 
das gedruckte Frankierstempelbild nicht bloB eine un- 
abgerechnete Kopie eines fruheren Abdruckes ist und 
mit einer gewunschten anderen Adresse kombiniert 
wurde. Deshalb werden spezielle rote ftuoreszierenden 
Tinten vorgeschrieben, welche schwer zu kopieren sind. 
Durch die inszwischen erreichten Fortschritte bei Farb- 
kopterem und Farbdruckem kann eine derartige 
MaBnahme nicht mehr als emst zunehmendes Hinder- 
nis gelten, gefalsche unabgerechnete Abdrucke herzu- 
stellen. 

[0004] Gewohnlich ist am Personalcomputer auch ein 
Drucker angeschlossen, mit dem heutzutage nicht nur 
Briefe ausgedruckt, sonde m auch Adressen auf Kuver- 
te gedruckt werden konnen. Grundsatzlich kann dam it 
auch das Kuvert f rankiert werden. Es ist jedoch schwie- 
rig bei solchen offenen Systemen eine Manipulation zu 
verhindern. Uber die ungesicherten Verbindungsleitun- 
gen, konnte namlich ein Manipulator in Falschungsab- 
sicht versuchen, Daten in das System einzuspeisen, in- 
dem er vortauscht, sie kamen von der dazu authorisier- 
ten Stelle. 

[0005] Die US-Postbehorde hat einen im Jahre 1 996 
veroff entlichten Katalog mit Anf orderungen an die Kon- 
struktion von zukunftigen sicheren Frankiersystemen 
aufgestellt (Information based Indicia Program IBIP). 



Darin wird angeregt, bestimmte Daten kryptografisch zu 
verschlussen und in Form einer digitalen Unterschrrft 
auf den zu frankierenden Brief zu drucken, anhand de- 
rer die Postbehorde die Echtheit von Frankierabdrucken 
5 uberprufen kann. Bei der US-Postbehorde entsteht 
nach geschatzten Angaben durch Betrug ein jah richer 
Schaden von ca. 200 Mi II ion en US-$. Diese Anf orderun- 
gen sind nach Art der Frankiereinrichtung differenziert 
worden. Tradition eile Frankiermaschinen, welche in der 
w Regel nur einen Frankierstempel in Rot aufdrucken wer- 
den auch als "closed systems" bezeichnet und brau- 
chen anders als bei sogenannten "open systems" (PC- 
Fran kierer) die entsprechende Brief adresse nicht in die 
Verschlusselung mit einbeziehen. Fur open systems ist 
jedoch weiterhin ein Sichemeitsmodul mit fortschrittli- 
cher Kryptotechnologie und gesichertem Gehause vor- 
geschrieben, in welches Daten der Datenzentrale ein- 
gespeichert werden konnen. 

[0006] Aus der US 5.625.839 ist das Senden einer 
Update-Information als Datenpaket an eine Frankierma- 
schine bekannt. Mit einer CRC-Prufsumme kann zwar 
die Fehlerfreiheit der Daten Obermittlung gepruft wer- 
den, was jedoch noch nichts uber die Richtigkeit des 
ubermittelten Daten inhaftes selbst aussagt. Ein Pro- 
blem konnte wegen der ungesicherten Verbtndungslei- 
tung entstehen, wenn namlich ein Manipulator in Fal- 
schungsabsicht versucht, Daten in die Frankiermaschi- 
ne einzuspeichem, indem er vortauscht, sie kamen von 
der Datenzentrale. 

[0007] In der DE 38 40 041 A1 wurde deshalb bereits 
eine Anordnung vorgesch lag en, in welcher eine Fran- 
kiereinrichtung uber eine standig in Betrieb befindliche 
TEMEX-Standleitung mit einem Zentralrechner verbun- 
den ist. Der Postkunde gibt in die Frankiereinrichtung 
den gewunschten Frankierwert ein. Letzterer wird zum 
Zentralrechner ubertragen, welcher mit einem Giro- 
Rechner verbunden ist, bei welchem der Kunde ein 
Postgiro-Konto hat. Nach einer Deckungsprufung 
nimmt der Giro-Rechner die Abrechnung vor und der 
Zentralrechner gibt die Frankierfunktion frei. Auch die 
Frankiereinrichtung selbst besitzt zusatzlich postalische 
Speicher, welche aufgrund des Datenverbundes abge- 
fragt werden konnen und einezusatzliche Sicherheit vor 
Datenverlust im Fade eines Rechnerausfails bieten. Der 
Zentralrechner lost einen Alarm aus, wenn diese Stand- 
ieitung unerlaubt angezapft oder unterbrochen wird. Es 
ist allerdings aufwendig und somit nicht u be rail mogltch, 
eine solche spezielle gesicherte Leitung einzusetzen. 
[0008] Aus dem EP 373 971 B1 ist ein Kommunikati- 
onssystem bekannt, mit einem Ubermttteln von Adres- 
sendaten von einer lokalen zu einer zentralen Daten- 
bank in einer Datenzentrale, ein Aktualisieren der ge- 
speichert en Adressendaten in der einer zentralen Da- 
ten bank der Datenzentrale anhand der ubermittelten 
Adressendaten und ein Modtfizieren der Adressendaten 
der im System vorhandenen lokalen Datenbanken an- 
hand der aktuaiisierten Daten der Datenzentrale. Damit 
wird zwar ein Gleichhatten der Daten in jeder lokalen 
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Datenbank entsprechend einer zentralen Datenbank er- 
reicht. 8ei einer ungesicherten Verbindungsleitung 
kann aber nicht verhindert werden, daB eine unrichtige 
Adresse in der zentralen Datenbank der Oatenzentrale 
gespeichert und von dort aut die jeweitige lokale Oaten- s 
bank der weiteren Benutzer flbertragen wird. 
[0009] In der EP 782 296 A2 wurde zum Abrufen ei- 
nes Zertifikates von einem Adressenbuchspeicher uber 
eine ungesicherte Kommunikationsverbindung zwar ein 
Public Key-Vertahren vorgeschlagen, jedoch kann da- io 
mit nur gesichert werden, daB die ubermittelte Nachrich 
authentisch ist. Somit konnte ebensogut auch eine ge- 
falschte Nachricht ubermittelt werden, deren Zertifikat 
aber echt ist. 

[0010] In frankierenden Systemen kommt es neben 
der Richtigkeit und Echtheit einer Nachricht zugleich auf 
die richtige Abrechnung an. Es ist deshab schon eine 
Portobox in einem Terminal (US 5,233,657) bzw. ein ge- 
sichertes Modul (US 5,625.694) vorgeschlagen worden, 
in welch em die Abrechnungsdaten gespeichert werden. 
Das Terminal gemaB der in der US 5,233,657 vorge- 
schlagenen Losung, wird als Fax- und Frankiergerat ge- 
nutzt, wobei wesentliche Frankierbilddaten von einer 
Datenzentrale angefordert werden und dann mit ande- 
ren Bilddaten, welche im Terminal gespeichert sind, als 
Frankierabdruck vervollstandigt ausgedruckt werden. 
Die Kommunikation zwischen Terminal und Datenzen- 
trale wird durch ein kryptographisches Verfahren gesi- 
chert, z.B. nach dem bekannten RSA-Verfahren. Aus 
den das Terminal kennzeichnenden Daten wird von der 
Zentralverarbeitungseinheit des Terminals ein Siche- 
rungscode erzeugt und gemeinsam mit dem Frankier- 
wert abgedruckt. Nachteilig ist die langwierige Rechen- 
arbeit, welche die Zentralverarbeitungseinheit durch- 
fuhren muB, einerseits wenn Bilddaten nach dem RSA- 
Verfahren entschlusselt werden und andererseits wenn 
der Sicherungscode erzeugt wird. 
[0011] In der US 5,625.694 wird ein Computer mit ei- 
nem gesicherten Modul ausgerOstet. Bei einer Anforde- 
rung einer digitalen Unterschrift an ein solches gesi- 
chertes Modul, wobei die Anforderung in Abhangigkeit 
einer Anderung bezOglich des eingegebenen Frankier- 
wertes und einer Empfangeradresse erfolgt, generiert 
das gesicherte Modul dann einerseits eine entspre- 
chende digitale Unterscnritt und ubermittelt diese an 
den Mikroprozessor des Computers, aber f uhrt anderer- 
seits auch die Abrechnung durch. Der Mikroprozessor 
des Computers generiert dann ein Druckbild entspre- 
chend des Frankierwertes und der Empfangeradresse 
sowie der ubermittelten Signatur. Eine Signatur wird nur 
dann nicht vom gesicherten Modul angetordert, wenn 
weder der F rankierwert noch die Adresse geandert wird. 
Eine Kopie desselben Abdruckes wird somit nicht im ge- 
sichertem Modul mitabgerechnet. Dem Postbeforderer 
obliegt die Authentizitatsprufung fur jedes einzelne 
Poststuck. Auch geringste Unterschiede in der Adresse 
wirken sich auf die Signatur aus. Es ist jedoch nicht si- 
cher, daB vom Benutzer die Eingabe einer gultigen 



Empfangeradresse erfolgt. Ein mit einer unguttigen 
Empfangeradresse versehenes Poststuck kann u.U. 
nicht zugestellt werden, obwohl es mit einem gultigem 
Porto frankiert worden ist und das Porto ordnungsge- 
maB im gesicherten Modul abgerechnet wurde, weil die 
Adresse nachtraglich nicht korrigierbar ist. Aufwendig 
ist bei alien vorgenannten Losungen die Notwendigkeit 
der Anordnung eines gesicherten Mod u Is im Endgerat. 
[0012] Aufgabe ist es, eine Low-end- Frankie rein rich- 
tung mit einer lokalen Datenbank zu schaffen, wobei in 
der lokalen Datenbank der Frankiereinrichtung gOltige 
Adressen gespeichert sind. Weiterhin soil ein Verfahren 
zur Erzeugung guttiger Daten fur Frankierabdrucke an- 
gegeben werden, so daB im Ergebnis gultige Frankier- 
werte mit gultigen Adressen zusammen mit einer Signa- 
tur auf das Poststuck gedruckt werden konnen. 
[0013] Die Aufgabe wird mit den Merkmalen der An- 
spruche 1 und 4 gelost. 

[0014] Die Notwendigkeit der Anordnung eines gesi- 
cherten Mod u Is im Endgerat entfallt. Damit entfallt auch 
die Notwendigkeit ein Guthaben in das Endgerat nach- 
zuladen und die Kommunikation entsprechend sicher 
vor Manipulation des Guthabens zu gestalten. Erfin- 
dungsgemaB wird eine digitale Signatur in einer Daten- 
zentrale eines Herstellers von Frankiersystemen bzw. 
eines Postbeforderers erzeugt. Die Kommunikation mit 
der Datenzentrale ist relativ kurz, da die ubermittelten 
Klardaten weder Bilddaten umfassen noch alle Daten 
verschlusselt werden, sondem neben den Klardaten nur 
eine relativ kurze Signatur zuruckubermittelt wird. vbr- 
teilhaft ist weiterhin die Dienstleistung der Datenzentra- 
le bezuglich einer Korrektur einer fehlerhaft eingege- 
ben-den Postempfangeradresse. Somit konnen Fehl- 
frankierungen vermieden werden. In einer Variante 
kann als zusatzliche Dienstleistung von der Datenzen- 
trale eine Portoberechnung nach gultigem Tar if vorge- 
nommen werden. Gunstig ist auch fOr die Manipulati- 
onsstcherheit, daB geheime Schlussel und andere si- 
cherheitsrelevante Daten nur in der Datenzentrale ge- 
speichert sind und nach extern nicht ausgelesen wer- 
den konnen. Der Abdruck der ubermittelten Daten auf 
daB Poststuck kann auch zu einem beliebig spateren 
Zeitpunkt erfolgen. Fur die externe Bilderzeugung aus 
den ubermittelten Daten existieren keine Einschrankun- 
gen. So konnen unterschiedliche Druckverfahren zum 
Einsatz kommen. Den unterschiedlichen EinsaUbedin- 
gungen und Anforderungen der einzelnen Postbeforde- 
rer kann so am besten entsprochen werden. 
[0015] Vorteilhafte Weiterbildungen der Erfindung 
sind in den Unteranspruchen gekennzeichnet bzw. wer- 
den nachstehend zusammen mit der Beschreibung der 
bevorzugten Ausfuhrung der Erfindung anhand der Fi- 
guren naher dargesteilt. Es zeigen: 

Fig. 1, Blockschattbild fur die Frankiereinrichtung 
und die Datenzentrale, 

Fig. 2, Beispiel fur einen Abdruck auf einem Post- 
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stuck. 

[0016] Im Blockschaltbild gemaB Fig.1 ist eine Daten- 
zentrale 20 mit Frankiereinrichtungen 10 und 30 und mil 
einer Prut ungsstelle 50, beispielsweise im Postamt, des 
Postbefdrderers uber ein Kommunikationsnetz 40 kom- 
munikativ verbunden. 

Die Frankiereinrichtung 10 ist als ein von einem ersten 
Computer 11 gesteuerter digitaler Drucker 17 ausgebil- 
det, welcher mindestens Briefumschlage eines Forma- 
tes bedrucken kann. Beispielsweise ist ein Personal- 
computer PC 1 einerseits uber ein ungesichertes Kabel 
16 mit dem Drucker 17 verbunden und kann anderer- 
seits via Modem 1 5 und Kommunikationnetz 40 mit der 
Datenzentrale 20 on-line eine Kommunikationsverbin- 
dung aufnehmen. Mit dem ersten Computer 11 sind ein 
Festplattenspeicher 13 fur eine lokale Datenbank, eine 
Tastatur 14 und eine Anzeigeeinheit 12 verbunden. 
Durch die letztgenannten Ein/Ausgabemittel 12 und 14 
konnen entsprechende Eingaben getatigt und sichtbar 
gemacht bzw. die weitere Programmabarbeitung uber- 
wacht werden. Wahrend der on-line Verbindung ertolgt 
eine Abstimmung des Datenbestandes der lokalen Da- 
tenbank und eine Speicherung der ubermittelten Daten. 
Die Etzeugung von Abdrucken auf der Basis der uber- 
mittelten gespeicherten Daten kann zu einem spateren 
Zeitpunkt erfolgen. 

[0017] Die Datenzentrale 20 besteht aus einem zwei- 
ten Computer 21. vorzugsweise ein Personalcomputer 
PC 2, mit angeschlossenen Ein/Ausgabemitteln 22 und 

24, einer Festplatte 23 und mindestens einem Modem 

25. Die Festplatte 23 spechert spezielle Dienstlei- 
stungsprogramme und Buchungs- bzw. Abrechnungs- 
daten fur Dienstleistungen, welche fur einen Kunden er- 
bracht werden. 

[001 8] Auf die Festplatte 1 3 des ersten Personalcom- 
puters PC 1 ist ein entsprechendes Anwendungspro- 
gramm geladen, welches auf die Bedurfnisse der Be- 
nutzer fur soho (smal office & home office) Markte zu- 
geschnitten ist. In einem solchen Markt kommt es nicht 
auf die Stuckzahl frankierter Briefe pro Zeiteinheit an, 
sondem nur auf geringen Aufwand bei moderaten Ko- 
sten. Eine bloBe Nachricht konnte zwar per email ver- 
schickt werden. Doch in der Praxis sollen auch unikate 
Orginale an Bildem, Fotos, BOchem, Stoffe usw. in ei- 
nem Umschlag kuvertiert verschickt werden. Die Erfin- 
dung geht deshatb davon aus, daB das Grundsystem 
bestehend aus einem Computer und Drucker bereits 
beim Benutzer vorhanden ist. Nur dann kann im Endge- 
rat auf zusatzliche und teure Hardware-Komponenten, 
beispielsweise auf ein Sichemeitsmodul. verzichtet 
werden, wenn das Frankiersystem entsprechend erfin- 
dungsgemaB ausgebildet ist. Der Computer muB zur 
Verarbeitung modemer Kryptotechnologien hardware- 
maBig mit einem schnellen modernen Prozessor und 
genugend Spetcherplatz ausgerustet sein. 
Die Erfindung setzt weiterhin vorraus, daB Kommunika- 
tionsverbindungen uber das Netz 40, beispielsweise 



solche via Internet, WWW (Word Wide Web) Oder ISDN, 
zukunftig kostengunstig hergestelrt werden konnen. 
[0019] Die Erfindung besteht darin, daB die Daten- 
zentrale anhand einer auf der Festplatte 23 geschaffe- 

s nen 2 antral en Datenbank die GGItigkeit einer Postemp- 
fangeradresse uberpruft und gegebenenfalls herstelrt, 
daB aber die Frankiereinrichtung vor einer Speicherung 
in der lokalen Datenbank die Authentizitat einer uber- 
mittelten Postempfangeradresse uberpruft. Dabei wird 

10 ein offentlicher Schlussel verwendet, welcher vorzugs- 
weise zusammen mit der gOltigen Postempfanger- 
adresse und mit der Signatur von der richtigen Daten- 
zentrale Obermittelt wird. Keine andere als nur die rich- 
tige Datenzentrale kann die authentische Signatur er- 

is zeugen. 

[0020] Die Uberprufung der Gultigkeit einer Adresse 
setzt eine Pflege der AdreBdateien der zentralen Daten- 
bank durch einen Postbeforderer bzw. durch einen dazu 
vom Postbeforderer beauftragten Dienst vorraus. Zur 
20 Deckung der dadurch entstehenden Kosten wird die 
Nutzung der AdreBdateien durch externe Benutzer als 
kostenpflichtige Dienstleistung dem Benutzer in An- 
rechnung gebracht. 

[0021] Zur Durchfuhrung der Uberprufung wird min- 

25 destens die zu druckende Postempfangeradresse (An- 
schrift) zunachst an vorgenannte Datenzentrale Ober- 
mittelt. Eine falsche Schetbweise der Anschrift kann au- 
tomatisch anhand der Postleitzahl oder eines ahnlichen 
Bestimmungscode korrigiert werden, wenn zu letzterem 

30 eine entsprechende Datei in der zentralen Datenbank 
existiert. Das gilt auch umgekehrt. Ist jedoch eine auto- 
matische Korrektur nicht moglich, wird der Benutzer 
daruber informiert und aufgefordert die Adresse korrekt 
einzugeben. Nach der Uberprufung wird ein dem gOlti- 

35 gen Tarif entsprechender Postwert und die gultige, 
eventuell zuvor korrigierte. Anschrift mit Postleitzahl an 
die Frankiereinrichtung zuruckubermittett. wobei die zu- 
ruckubermittelten Daten mittels einer Signatur miteinan- 
der verknOpft sind. Als Zwischenschritt wird eine Nach- 

40 richt aus den zu ubermittelnden Daten erzeugt, indem 
eine spezielle mathematische Funktion zur Anwendung 
kommt, welche die zu verschlusselnde Datenmenge re- 
duziert. Die Signatur wird durch Verschlusselung der 
Nachricht mit einem geheimen privaten Schlussel nach 

45 einem bekannten nichtsymmetrischen Verschlusse- 
lungsalgorithmus erzeugt. 

[0022] Ein geeigneter bekannter asymmetrischer 
Verschlusselungsalgorithmus ist beispielsweise der Di- 
gital Signatur Algorithmus(DSA), ein Elliptic Curve Digi- 

so tal Signatur Algorithmus (ECDSA) oder der ELGamal 
Algorithmus (ELGA). Diesen Signatur AJgorithmen ist 
ein Schlusselpaar gemeinsam, welches einen privaten 
und offentiichen Schlussel umfaBt. Der private Schlus- 
sel ist ein geheimer nicht nach extern austesbarer 

ss Schreibschlussel. Und der offentliche Schlussel f ungiert 
als LeseschlOssel fur die Signatur und ist jederman zu- 
ganglich. 

[0023] In der nicht vorveroffentlichten deutschen An- 
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meldung mit dem Titel: "Verfahren fur eine digital druk- 
kende Frankiermaschine zur Erzeugung und Uberpru- 
fung eines Sicherheitsabdruckes', wurden derartige 
asymmetrische VerschlOsselungsalgorithmen aul 'clo- 
sed systems' angewendet naher erfautert. Auf der Fran- 
kiermaschinenseite wird jedoch im Unterschied zur er- 
findungsgemaBen Losung ein Postage Security Device 
zur Verschlussellung eingesetzt, das erfindungsgemaB 
nun entf alien kann. 

[0024] Statt dessen hat die Festplatte 23 des zweiten 
Computers 21 der Datenzentrale 20 speziell gesicherte 
Speicherbereiche zur Speicherung des privaten Schlus- 
sel, so daB letzterer nicht von extern ausgelesen wer- 
den kann. Alternativ kann ein separator Speicher, bei- 
spielsweise ein Halbleiterspeicher, zur sicheren Spei- 
cherung des privaten Schlussels verwendet werden, 
wobei der Speicher im Computer integriert und gegen 
unberechtigtes Auslesen gesichert ist. 
[0025] Es ist vorgesehen, daB der erste Computer 11 
mittels eines Anwenderprogramms im Speicher pro- 
grammiert ist, urn 

auf eine gespeicherte bestimmte Postempfanger- 
adresse zuzugreifen oder eine neu eingegebene 
bestimmte Postempfangeradresse zwischenzu- 
speichern, 

Anforderungsdaten des Postabsenders per Kom- 
munikationsmittel zur Datenzentrale zu ubermit- 
teln, wobei die Anforderungsdaten die Identifikati- 
onsdaten des Postabsenders und Postversen- 
dungsdaten, einschlieBlich die bestimmte Post- 
empfangeradresse, umfassen, urn die fltchtigkert 
der Postempfangeradresse mittels eines zweiten 
Computers zu bestatigen oder anhand einer in der 
zentralen Datenbank gespeicherten Adrefldatei 
herzustellen, 

Daten zu empfangen, betreffend eine gultige Post- 
empfangeradresse von einer in der zentralen Da- 
tenbank gespeicherten AdreGdatei, einen gultigen 
Portowert und eine Signatur, wobei der zweite 
Computer der Datenzentrale die angeforderten Da- 
ten nur mit einer Signatur ausstattet, wenn eine gul- 
tige Postempfangeradresse in der zentralen Daten- 
bank gespeichert ist, wobei eine Mitteilung erzeugt 
wird, wenn eine automatische Korrektur einer Post- 
empfangeradresse unmoglich ist, 
- die von der zentralen Datenbank empfangenen Da- 
ten einschlieBlich der Signatur zu verarbeiten, um 
einen authentischen Frankierabdruck auf das Post- 
stuck abzudrucken. 

Es ist weiterhin vorgesehen, die Authentizitat der zur 
Frankiereinrichtung ubermittelten emplangenen Daten 
anhand der Signatur zu uberprufen und bei Authentizitat 
die AdreBdatei in der lokalen Datenbank bezuglich der 
bestimmte Postempfangeradresse zu aktualisieren. 
[0026] Das erfindungsgemaBe Verfahren zur Erzeu- 
gung eines gultigen Datenbestandes fur Frankierab- 



drucke umfaBt folgende Schritte: 

Bildung und Ubermittlung von Anforderungsdaten, 
mit wetehen ein erster Computer der Frankierein- 

s richtung von einem zweiten Computer einer Daten- 
zentrale eine Signatur anfordert, wobei die Anfor- 
derungsdaten mindestens eine Informationsgruppe 
mit Postempfangeradressendaten und Identifikati- 
onsdaten einschlieGen, 

io - Erzeugung einer Signatur auf der Basis verifizierter 
Daten unter Verwendung eines asymmetrischen 
Kryptoalgorithmus und geheimen privaten Schlus- 
sels, sowie 

Ruckubermittlung der verifizierten Daten und der 
is Signatur zur Frankiereinrichtung, wobei die Authen- 
tizitat der zuruckubermittelten Daten anhand der Si- 
gnatur unter Verwendung eines offentlichen 
Schlussels uberprufbar ist, sowie 
Speicherung authentischer empfangener Daten in 
20 einer lokalen Datenbank. 

[0027] Es ist vorgesehen, daB vom zweiten Computer 
in der Datenzentrale die Gultigkeit von Daten uberpruft 
und erforderlichenfalls hergesteltt wird, daB die Signatur 

25 vom zweiten Computer in der Datenzentrale aus den 
angeforderten Daten generiert wird. Somit ist sicherge- 
stellt, daB die vom Endgerat empfangenen teilweise zu- 
ruckzuubermittelnden gultigen Daten vom zweiten 
Computer in der Datenzentrale mittels der Signatur mit- 

30 einander verknOpft worden sind. Der erste Computer 
empfangt entsprechend der Anforderung Ober Modem 
somit gultige Daten. Es ist weiterhin vorgesehen, daB 
vom ersten Computer anhand von Daten der zur Daten- 
zentrale ubermittelten Informationsgruppe und Daten 

35 einer empfangenen Informationsgruppe ein Vergleich 
vorgenommen wird, wobei mittels der Signatur eine Au- 
thentizitatsprufung hinsichtlich der empfangenen Infor- 
mationsgruppe durchgefuhrt wird, wobei bei der Au- 
thentizitatsprufung ein offentlicher Schlussel verwendet 

40 wird. welcher in der zentralen Oder einer lokalen Daten- 
bank abrufbar gespeichert ist 
Im Falle einer festgestellten Abweichung zwischen den 
ubermittelten und empfangenen Daten im Ergebnis des 
Vergleiches wird der Datenbestand in der lokalen Da- 

*s tenbank nur dann aktualisiert, wenn die empfangenen 
Daten als authentisch gelten. Vom ersten Computer 
wird dann zu einem beliebig spateren Zeitpunkt aus den 
empfangenen Daten ein Druckbild generiert und ein 
Ausdrucken entsprechend veranlaBt. 

so [0028] Dem Gleichhatten der Postempfanger- 
adreBdaten in der lokalen Datenbank geht also eine Au- 
thentizitatsprufung anhand der Signatur im Personal- 
computer PC 1 voraus. Bei der Authentizitatsprufung 
wird ein offentlicher Schlussel verwendet, welcher von 

ss der zentralen oder einer lokalen Datenbank abrufbar ist. 
Der dffentliche Schlussel kann in einem ungesicherten 
Speicherbereich zusammen mit einem zugehdrigem 
Datum fur das G u It ig werden gespeichert werden. 
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[0029] Mit dem offentlichen Schlussel kann jederman 
aus der Signatur durch Entschlusseln die Nachricht zu- 
ruckgewinnen. Zwecks Vergleich wind eine Refe- 
rencenachricht aus den ubermittetten Klardaten er- 
zeugt, indem die dieselbe vorgenannte spezielle mathe- 
matische Funktion zur Anwendung kommt, welche die 
Datenmenge reduziert. Bei Gleichheit der entschlussel- 
ten Nachricht mit der gebildeten Reterencenachricht ist 
die Authentizitat der Daten gegeben, deren Gultigkeit 
durch die Datenzentrale zumindest fur die Postempfan- 
geradresse gesichert wird. 

[0030] Auf ebensolche Weise kann anhand der Si- 
gnatur in einem Postamt 50 oder in einer Posteinliefe- 
rungsstelle bzw. einem Instrtut eines privaten Postbe- 
forderers mit der Authentizitatsprufung zugleich Ober- 
prutt werden, ob eine Abrechnung in der Datenzentrale 
erfolgt ist. Zu diesem Zweck geht in die Signatur eine 
monoton stetig veranderbare GroGe ein, welche zu- 
gleich in Klarschritt auf dem Poststuck often aber min- 
destens maschinenlesbar abgedruckt wird. Eine solche 
GroGe sind be ispi els weise die Zertdaten zum Zeitpunkt 
des Abrufens der Signatur von der zentralen Oatenbank 
Oder die Stuckzahl. Zugleich werden anhand der aufge- 
druckten Zeitdaten bzw. Stuckzahl oder einer anderen 
GroGe in der Datenzentrale die Buchhaltungsdaten wie- 
derauffindbar und somit die Bezahlung der Dienstlei- 
stung im Detail uberprufbar. 

[0031] Das Postamt 50 bzw. beauftragte Institut kann 
dazu die Datenzentrale via Kommunikationverbindung 
anrufen, um in deren Datenbank gespeicherte Daten 
abzufragen. 

[0032] Ein Beispiel fur einen Abdruck auf einem Post- 
stuck wird anhand der Fig. 2 erlautert. Bei einem Brief 
ist das AdreGfeW zentral angeordnet. Die Postempfan- 
geradersse wird in Klarschritt und ein zugehoriger ZIP- 
Code wird als Barcode aufgedruckt. Der Frankierab- 
druck ist in der Peripherie rechts oben angeordnet. Eine 
Absenderangabe in der Peripherie links oben angeord- 
net ist optional. Fur die USPS wird ein ca. 1 Zoll breiter 
Fran kierabdruck mit einem maschinenlesbaren Bereich 
erzeugt. Bestimmte Klardaten und die Signatur werden 
z.B, in eine PDF 41 7-Symbolik umgesetzt und gedruckt. 
Letztere ist von der Firma Symbol Technologies, inc. in 
EP 439 682 B1 naher beschrieben worden. Uber dem 
maschinenlesbaren Bereich ist dervisueil (human) les- 
bare Bereich und ein Bereich fur den FIM-Code gemaG 
der US-Postvorschriften angeordnet Links davon liegt 
ein weiterer Druckbereich, welcher vorzugsweise zum 
Drucken eines Wertoeklischees verwendet werden 
kann. Wegen des FIM-Codes ergibt sich f Or einen ca. 1 
Zoll breiten Frankierabdruck ein ca 11 bis 1 4 mm breiter 
visuell (human) lesbarer Bereich. Somit kann die restli- 
che Breite fur den maschinenlesbaren Bereich verwen- 
det werden. 

[0033] Die zur Datenzentrale ubermittetten Anforde- 
rungsdaten konnen in einer bevorzugten ersten Ausf uh- 
rungsvariante zusatzlich den Postwert, weitere Postver- 
sendungsdaten und eine monoton stetig veranderbare 



GroGe einschlieGen. Der Postwert und weitere Postver- 
sendungsdaten (EXPRESS, AIR MAIL,.., ) werden uber 
die Tastatur 14 des Personalcomputers PC 1 vom Be- 
nutzer fur jeden Brief eingegeben. 

5 [0034] Die Speicherung der Abrechnung bzw. Buch- 
haltungsdaten entsprechend weiterer Dienstleistungen 
erfolgt in der zentralen Datenbank. Da die Abrechnung 
der Postbeforderung in der Datenzentrale kundenspe- 
zifisch vorgenommen wird, kann eine Manipulation der 

10 Abrechnungsdaten in Falschungsabsicht ausgeschlos- 
sen werden. Eine lokale Portobox bzw. ein Meter ist 
beim Benutzer der Frankiereinrichtung unndtig. Die 
Festplatte 23 enthalt zur Buchung vorgesehene Spei- 
cherbereiche, entsprechend der vereinbarten Abrech- 

is nungsart und Dienstleistungsart. Zur Erhohung der Si- 
cherheit vor Datenverlust existiert mindestens eine wei- 
tere - nicht gezeigte - Festplatte 23' in der Datenzentra- 
le, in welcher eine redundante Speicherung aller Daten 
erfolgt. 

20 [0035] Eine Abrechnungsart fOr vorgenannten 
Dienstleistung der Postbeforderung ist eine kumulative 
Abrechnung am Monatsende, wobei der kumulative Be- 
trag von einem Kundenkonto bei einer Bank oder einem 
vergleichbaren Kreditinstitut gemaG dem Lastschriftver- 

2S fahren abgebucht wird. Es kann ebenso eine andere Ab- 
rechnungsart, beispielsweise Sofortbezahlung oder 
Vorausbezahlung, vereinbart werden. Mit dem Kunden 
kann eine entsprechende Vereinbarung zu unterschied- 
lichen Abrechnungsarten fur unterschiedliche Dienstlei- 

30 stungen getroffen werden. 

[0036] Es ist in einer zweiten Ausfuhrungsvariante 
vorgesehen, daG Versendungsdaten ubermrttett und 
auGerdem die Dienstleistung einer Portoberechnung in 
der Datenzentrale durchgefuhrt wird, wobei die kumu- 

3$ lierten Dienstleitungskosten periodisch, beispielsweise 
am Tagesende, dem Kunden in Rechnung gestellt wer- 
den. Dazu ist es vorteilhatt, daG die Anforderungsdaten, 
welche zusammen mit der AdreGdaten und weiteren 
Versendungsdaten zur Datenzentrale ubermittelt wer- 

40 den, auch Identifikationsdaten ID umfassen. Unter Iden- 
tifikationsdaten ID sollen eine Identifikationsnummer 
des Kunden bzw. des Postabsenders oder die Maschi- 
nenseriennummer, Oder die Absendeadresse verstan- 
den werden. Um Betrugereien auszuschlieGen, wo ein 

45 anderer Absender vorgetauscht wird, ist es weiterhin 
vorgesehen, daG solche Identifikationsdaten in die Si- 
gnatur ebenfalls mit eingehen. Die Datenzentrale er- 
zeugt eine Signatur aus den ubermittetten Anforde- 
rungsdaten, wie Postempfangeradresse und Identifika- 

50 tionsdaten, sowie einer erzeugten monoton stetig ver- 
anderbare GroGe und dem Portowert mit Hilfe eines pri- 
vaten Schlussels und eines asymmetrischen Verschlus- 
selungsalgorithmus. 

[0037] Wenn aber andererseits wie bei der ersten 
55 Ausfuhrungsvariante die Dienstleistung einer Portobe- 
rechnung nicht in der Datenzentrale sondern in der 
Frankiereinrichtung durchgefuhrt wird, konnen solche 
Kosten nicht dem Kunden aufgeburdet werden, sondern 
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vielmehr ist ein Rabatt zu gewahren, da der Computer 
der Datenzentrale durch solche Berechnungen nicht un- 
notig blockiert wird. 

[0038] Bei der zweiten Ausluhrungsvariante ist vorge- 
sehen, daB die empfangenen teilweise zurOckubermit- 
telten Daten einen in der Datenzentrale berechneten 
Portowert, eine Emplanderadresse, Identifikationsda- 
ten, Datenzentrale eine monoton stetig veranderbare 
GroBe und eine Signatur einschlieBen, wobei die Da- 
tenzentrale die monoton stetig veranderbare GroBe ge- 
neriert und aus den Obermittelten Anforderungsdaten, 
wie Postempfangeradresse und Identifikationsdaten 
sowie aus weiteren ubermittelten Versendungsdaten 
den Portowert nach einem gultigen Tarif ermittelt. Bei 
einer Maximarvariante werden die Anforderungsdaten 
gleich fur mehrere Briefe erzeugt, die der Benutzer an 
seinem Personalcomputer PC 1 erstellt hat, welcher zu- 
gleich Bestandteil der Frankiereinrichtung ist. Entspre- 
chend der Anzahl der Briefe wird dann auch eine Anzahl 
von verschiedenen Signaturen zugeordnet zu den 
AdreB- und Frankierdaten erzeugt. Die zurOckObermit- 
telten Daten lassen sich Ober die AdreBdaten den un- 
schiedlichen Briefen zuordnen. 
[0039] Als alternative Versendungsinformation zum 
Gewicht kann die Anzahl und das Format und das Ge- 
wicht der einzelnen Briefseiten je Brief ubermittelt wer- 
den. Das Briefgewicht laBt sich daraus in der Datenzen- 
trale ermitteln, ohne daB beim lokalen Benutzer eine 
Briefwaage an die Frankiereinrichtung angeschlossen 
werden muB. Gegebenenfalls eroffnet die Datenzentra- 
le wahrend der Kommunikation einen Userdialog via 
dem Display 12 mit dem Benutzer, urn die Daten zu ver- 
vollstandigen, welche zur Portoberechnung ertorderlich 
sind. 

[0040] Bei einer Minimalvartante, wird lediglich eine 
Signatur fOr folgende Informationen Postempfanger- 
adresse, Postwert, Identifikationsdaten, StOckzahlwert 
angefordert. Der Stuckzahlwert ist ein durch einen Nu- 
merateur erzeugter unverschlusselter StOckzahlauf- 
druck. Durch einen Numerateur wird bereits ein hinrei- 
chender Schutz gegenuber Kopien des Abdnjckes er- 
reicht. Bei Abholung der gesammelten Post durch einen 
Angestellten des Postbefdrdereres konnten bereits die 
Absender-ldentifikationsdaten und der vom Numera- 
teur erreichte Zahlstand mit den aufgedruckte Werten 
vergltchen werden. 

[0041] Die Wahrscheinlichkeit ist auch dafur gering, 
daB zum selben Absendedatum ein gleich groBes und 
gleich schweres Poststuck an den selben Postempfan- 
ger geschickt wird. Die Wahrscheinlichkeit kann weiter 
verringert werden, indem gefordert wird, daB die Uhr- 
zeitdaten zusatzlich auf das Poststuck mit aufgedruckt 
werden. Die Zeitdaten konnen altemativ durch eine ge- 
naue Uhr - nicht gezeigt - von der Datenzentrale berett- 
gesteift werden. 

[0042] Es ist in einer weiteren Variante vorgesehen, 
daB alia auf das Poststuck aufzudruckenden Daten zu- 
vor zentral gespeichert werden. In dem Postamt kann 



die eingelieferte Post unter Mitwirkung der zentral ge- 
speicherten Daten daraufhin Oberpruft werden, ob Ko- 
pien eines Abdruckes in Falschungsabsicht benutzt 
werden. Zu jedem eingelieferten PoststOck kann ein 
Eintrag in der zentralen Datenbank in einem besonde- 
ren Bereich vorgenommen werden. Ein dopperter Ein- 
trag in der Datenbank deutet dann auf einen gef alschten 
Abdruck hin. Durch die Verknupfung der Postempfan- 
geradresse mit dem Postwert und Stuckzahl Ober die 
Signatur, ist es getrennt voneinander unmoglich, eines 
der beiden Postempfangeradresse bzw. Postwert fur 
Manipulationzwecke zu kopieren. 
[0043] Es ist weiterhin vorgesehen, daB ein jedes 
Schlusselpaar, bestehend aus einem privaten Schlus- 
sel und einem offentlichen SchlQssel, zeitlich limitiert 
gultig ist und plotzlich zu einem bestimmten Datum und 
Uhrzeit von der Datenzentrale gewechselt werden 
kann. Die zeitlichen Abstande des Wechselns ergeben 
sch entsprechend dem aktuell erreichten Fortschritten 
bei modemen Analysevertahren, beispielsweise der dif- 
ferenziellen Kryptoanalyse, und sind so bemessen, daB 
ein Angriff auf die Sicherheit des Systems mit hoher 
Wahrscheinlichkeit scheitem muB. 
[0044] Die Erfindung ist nicht auf die vorliegenden 
Ausfuhrungsform beschrankt, da offensichtlich weitere 
andere Anordnungen bzw. Ausfuhrungen der Erfindung 
entwickelt bzw. eingesetzt werden konnen, die vom glei- 
chen Grundgedanken der Erfindung ausgehend, die 
von den anliegenden Anspruchen umfaBt werden. 



Paten tanspruch© 

1. Frankiereinrichtung, mit einem ersten Computer 
und mit einem angeschlossenen Drucker, wobei der 
Computer einen Speicher mit einer lokalen Daten- 
bankfur PostempfangeradreBdateien und ein Kom- 
munikationsmittel enthalt, wobei der erste Compu- 
ter Ober das Kommunikationsmittel mit einer Daten- 
zentrale verbunden ist, welche einen zweiten Com- 
puter mit einer zentralen Datenbank aufweist, 
gekennzelchnet dadurch, daB der erste Compu- 
ter programmiert ist, 

auf eine gespeicherte bestimmte Postempfan- 
geradresse zuzugreifen Oder eine neu einge- 
gebene bestimmte Postempfangeradresse 
zwischenzuspeichem, 

Anforderungsdaten des Postabsenders per 
Kommunikationsmittel zur Datenzentrale zu 
ubermitteln, wobei die Anforderungsdaten die 
Identifikationsdaten des Postabsenders und 
Postversendungsdaten, einschlieBlich die be- 
stimmte Postempfangeradresse, umfassen, 
urn die Richtigkeit der Postempfangeradresse 
mittels des zweiten Computers zu bestatigen 
oder anhand einer in der zentralen Datenbank 
gespeicherten AdreBdatei herzustetlen, 
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Daten zu empfangen, betreffend eine gultige 
Postemptangeradresse von einer in der zentra- 
len Datenbank gespeicherten AdreBdatei, ei- 
nen gultigen Portowert und eine Signatur, wo- 
bei der zweite Computer der Datenzentrale die 5 
angeforderten Daten nur mit einer Signatur 
ausstattet, wenn eine gQttige Postemptanger- 
adresse in der zentralen Datenbank gespei- 
chert ist, wobei eine Mitteilung erzeugt wird, 
wenn eine automatische Korrektur einer Post- io 
empfangeradresse unrnoglich ist, 

- die von der zentralen Datenbank empfangenen 
Daten etnschlieBlich der Signatur zu verarbei- 
ten. urn einen authentischen Frankierabdruck 

auf das Poststuck abzudrucken. ,5 

2. Frankiereinrichtung, nach Anspruch 1. gekenn- 
zolchnot dadurch, daB der erste Computer weiter- 
hin programmiert ist, die Authentizitat der zur Fran- 
kiereinrichtung ubermittelten empfangenen Daten 20 
anhand der Signatur zu uberprufen und bei Authen- 
tizitat die AdreBdatei in der lokalen Datenbank be- 
zuglich der bestimmte Postemptangeradresse zu 
aktualisieren. 

25 

3. Frankiereinrichtung, nach Anspruch 1, gekenn- 
zeichnet dadurch, daB der erste Computer weiter- 
hin programmiert ist, die Anforderungsdaten zu bil- 
den, wobei die Postversendungsdaten den ge- 
wunschten Frankierwert einschlieBen. 30 

4. Verfahren zur Erzeugung gultiger Daten fur Fran- 
kierabdrucke. wobei von einer Frankiereinrichtung 
Anforderungsdaten gebildet und zu einer Daten- 
zentrale ubermittelt und angeforderte Daten zu- 3S 
ruckubermittelt und gespeichert werden, gekenn- 
zelchnet durch die Schritte: 

- Bildung und Ubermittlung von Anforderungsda- 
ten, mit welchen ein erster Computer der Fran- 
kiereinrichtung von einem zweiten Computer 
einer Datenzentrale eine Signatur anfordert, 
wobei die Anforderungsdaten mindestens eine 
Informationsgruppe mit Postempfangeradres- 
sendaten und Identifikationsdaten einschlie- & 
Ben, 

- Verifikation von ubermittelten Daten in einer 
Datenzentrale. 

Erzeugung einer Signatur auf der Basis verifi- 
zierter Daten unter Verwendung eines asym- so 
metrischen Kryptoalgorithmus und geheimen 
privaten Schlussels, sowie 

- Ruckubermittlung der verifizierten Daten und 
der Signatur zur Frankiereinrichtung, wobei die 
Authentizitat der zuruckubermittelten Daten ss 
anhand der Signatur unter Verwendung eines 
offentlichen Schlussels uberprufbar ist, sowie 
Speicherung authentischer empfangener Da- 



ten in einer lokalen Datenbank. 

5. Verfahren, nach Anspruch 4, gekennzelchnet da- 
durch, 

daB vom zweiten Computer in der Datenzen- 
trale die Guttigkeit von Daten uberpruft und er- 
forderlichenfalls hergestellt wird, daB die Si- 
gnatur vom zweiten Computer in der Datenzen- 
trale aus den angeforderten Daten generiert 
wird, wobei die teilweise zuruckzuubermitteln- 
den Daten vom zweiten Computer in der Da- 
tenzentrale mittels der Signatur mfteinander 
verknQpft werden, 

daB der erste Computer entsprechend der An- 
forderung uber Modem gultige Daten emp- 
fangt, 

daB vom ersten Computer anhand von Daten 
der zur Datenzentrale ubermittelten Informati- 
onsgruppe und Daten einer empfangenen In- 
formationsgruppe ein Vergleich vorgenommen 
wird, wobei mittels der Signatur eine Authenti- 
zitatsprufung hinsichtlich der empfangenen In- 
formationsgruppe durchgefuhrt wird, wobei bei 
der Authentizitatsprufung ein offentlicher 
Schlussel verwendet wird, welcher in der zen- 
tralen oder einer lokalen Datenbank abrufbar 
gespeichert ist, 
• daB im Falle einer festgestellten Abweichung 
zwischen den ubermittelten und empfangenen 
Daten im Ergebnis des Vergleiches der Daten- 
bestand in der lokalen Datenbank nur dann ak- 
tualisiert wird, wenn die empfangenen Daten 
als authentisch gotten, sowie 
daB vom ersten Computer aus den empfange- 
nen Daten ein Druckbild generiert und ein Aus- 
drucken entsprechend veranlaBt wird. 

6. Verfahren, nach Anspruch 5, gekennzelchnet da- 
durch, daB die zur Datenzentrale ubermittelten An- 
forderungsdaten zusatzlich den Postwert, weitere 
Postversendungsdaten und eine monoton stetig 
veranderbare GroBe einschlieBen. 

7. Verfahren, nach Anspruch 5, gekennzelchnet da- 
durch, daB die empfangenen teilweise zuruckuber- 
mittelten Daten einen in der Datenzentrale berech- 
neten Portowert, eine Empfanderadresse, Identifi- 
kationsdaten, Datenzentrale eine monoton stetig 
veranderbare GroBe und eine Signatur einschlie- 
Ben, wobei die Datenzentrale die monoton stetig 
veranderbare GroBe generiert und aus den uber- 
mittelten Anforderungsdaten, wie Postemptanger- 
adresse und Identifikationsdaten sowie aus weite- 
ren ubermittelten Daten den Portowert nach einem 
gultigen Tarif ermitteft, sowie aus den ubermittelten 
Anforderungsdaten, wie Postemptangeradresse 
und Identifikationsdaten, sowie der erzeugten mo- 
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noton stetig veranderbare Gro9e und dam Porto- 
wert mit Hitfe eines privaten Schlussels und eines 
asymmetrischen VerschlOsselungsalgorithmus ei- 
ne Signatur erzeugl 

5 

8. Verfahren, nach den Anspruchen 6 Oder 7, gekenn- 
zeichnet dadurch, daG die monoton stetig veran- 
derbare GroBe eine zeitbezogene GroOe ist. 

9. Verfahren. nach den Anspruchen 6 oder 7, gekenn- w 
zeichnet dadurch, da(3 die monoton stetig veran- 
derbare GroBe eine Stuckzahl an abgerechneten 
Poststucken ist 

10. Verfahren, nach den Anspruchen 4 und 5 Oder 7, 
gokennzeichnot dadurch, daft ein jedes Schlus- 
selpaar aus privaten Schlussel und einem off ent li- 
chen Schlussel zeitlich timitiert gultig ist und plotz- 
Itch zu einem bestimmten Datum und Uhrzeit von 
der Datenzentrale gewechselt werden kann. 20 
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